在內外網隔離的環境下實現內外部郵件服務器的互通互發方案有多種,如兩台服務器之間通過UUCP點對點通訊、通過服務器串口PPP通訊、通過雙網卡堡壘主機軟開關方式等。其最根本的要求在于系統運行安全、可靠、實用性強,另外還要自動化程度高,減少人工幹預。
考察現有的網絡環境,通過堡壘主機+內外部郵件緩存服務器構成郵件系統隔離區,不失爲一種好辦法。堡壘主機通過兩塊網卡分別與內網、外網相連,關閉堡壘主機操作系統內核(linux Kernel)的ip轉發功能(IP Forwarding),使內外網通訊從網絡層徹底斷開。內外網郵件數據由應用程序通過堡壘主機的文件系統實現交換。同時,通過定時器,定時開關內部網卡(eth1)和外部網卡(eth0)構成網絡軟開關,從應用層保障內網的絕對安全。另外,通過內外部郵件緩存服務器構成郵件緩沖區,保證數據的萬無一失。
堡壘主機模式不需要改動現有的網絡配置,只需要在現有的一台IBM xServer232主機上裝上雙網卡即可實現硬件配置,郵件數據交換速度快(依賴于網絡數據傳輸速度),基本上可以滿足目前和未來3-5年內的使用要求。
1、概述
在內外網隔離的環境下實現內外部郵件服務器的互通互發方案有多種,如兩台服務器之間通過UUCP點對點通訊、通過服務器串口PPP通訊、通過雙網卡堡壘主機軟開關方式等。其最根本的要求在于系統運行安全、可靠、實用性強,另外還要自動化程度高,減少人工幹預。
考察現有的網絡環境,通過堡壘主機+內外部郵件緩存服務器構成郵件系統隔離區,不失爲一種好辦法。堡壘主機通過兩塊網卡分別與內網、外網相連,關閉堡壘主機操作系統內核(Linux Kernel)的IP轉發功能(IP Forwarding),使內外網通訊從網絡層徹底斷開。內外網郵件數據由應用程序通過堡壘主機的文件系統實現交換。同時,通過定時器,定時開關內部網卡(eth1)和外部網卡(eth0)構成網絡軟開關,從應用層保障內網的絕對安全。另外,通過內外部郵件緩存服務器構成郵件緩沖區,保證數據的萬無一失。
堡壘主機模式不需要改動現有的網絡配置,只需要在現有的一台IBM xServer232主機上裝上雙網卡即可實現硬件配置,郵件數據交換速度快(依賴于網絡數據傳輸速度),基本上可以滿足目前和未來3-5年內的使用要求。
2、網絡架構
基本架構如下圖:(基本系統環境爲:Redhat7.3+qmail)
由3台服務器構成的郵件隔離區DMZ
3、詳細設計說明
3.1 網絡配置
由三台PCServer構成隔離區,包括一台堡壘主機和2台郵件緩存服務器,假定ip地址配置如下:
堡壘主機:
連接外部網網卡:eth0 : 211.157.101.35
連接內部網網卡:eth1 : 192.168.0.1
外部緩存服務器:211.157.101.34
內部緩存服務器:192.168.0.9
外部郵件服務器(兩台):211.157.101.31 和 211.157.101.33
內部郵件服務器:(1台):192.168.0.145
3.2 各服務器功能
(1)堡壘主機:通過兩塊網卡分別聯結兩個網絡,通過文件系統實現數據交換。
堡壘主機示意圖
(2)郵件緩存服務器:內外部郵件暫存後再定時轉發
(3)外部郵件服務器:接收外部郵件,轉發內部郵件
(4)內部郵件服務器:接收內部郵件,轉發外部郵件
3.3 郵件路由路徑
3.3.1 內部郵件服務器發送郵件流程
內部郵件服務器發送郵件流程
3.3.2 外部郵件服務器轉發外部郵件流程
外部郵件服務器處理流程
4、實現方式
4.1 郵件存儲轉發模式(接收郵件)
將所有屬于mailer.com.cn 域的郵件轉發到特定目錄,定時調用轉發程序轉發到下一服務器。
轉發程序:Send-local-mail(由春笛公司提供,基于C,支持smtp、qmtp協議)
4.2 郵件路由模式(外發郵件)
將所有不屬于mailer.com.cn 域的郵件轉發到下一服務器(指定路由路徑)。
轉發程序:Send-remote-mail(由春笛公司提供,基于C,支持smtp、qmtp協議)
4.3 各服務器系統配置文件
192.168.0.1:
# cat /var/qmail/control/virtualdomains
chundi.com.cn:intramail
# cat /etc/crontab
1-59 * * * * root /root/send-local-mail
0 * * * * root /root/connect-internet
30 * * * * root /root/connect-intranet
堡壘機軟開關:
connect-internet: ifconfig eth0 down; ifconfig eth1 up
connect-intranet: ifconfig eth0 up; ifconfig eth1 down
# /etc/tcp.smtp
127.0.0.1:allow,RELAYCLIENT=\\\"\\\"
192.168.0.:allow,RELAYCLIENT=\\\"\\\"
192.168.0.145:
#cat /var/qmail/control/virtualdomains
:extramail
:chundi.com.cn:chundi.com.cn
# cat /etc/crontab
0-59 * * * * root /root/send-remote-mail
/home/extramail
.qmail-default
./Maildir/
Maildir/
192.168.0.9:
#cat /var/qmail/control/virtualdomains
:extramail
chundi.com.cn:intramail
#/etc/crontab
0-59 * * * * root /root/send-remote-mail
0-59 * * * * root /root/send-local-mail
4.4 郵件路由路徑
接收郵件: A(A\\\\\') -〉B-〉C-〉D
外發郵件:E-〉F-〉G-〉H
5、方案特點
5.1 安全、可靠
網卡軟開關硬件隔離;網絡層隔離;應用層安全驗證
5.2 郵件交換效率高
基于Ethernet 的通訊,10M-100M/s
5.3 分布式架構,擴展性強
郵件路由表可以隨時修改,可以隨時增刪隔離區緩沖服務器。
5.4 完全自動運行,無需人工幹預,減少人爲失誤。
系統定時器定時觸發郵件路由轉發程序,無需人工幹預。
5.5 數據同步周期、頻率可根據需要和郵件數據量大小隨時更改。
提供了更爲方便、靈活的選擇。
5.6 與郵件系統監控程序配合使用,可以在線監控郵件數據流量,隨時掌握系統運行狀況。
5.7 預留郵件過濾程序、病毒掃描程序調用接口,可以實現系統級的垃圾郵件過濾和病毒掃描 。
6、注意事項
* 以上IP地址爲假定IP, 具體實施時需要根據SIIM的實際網絡環境指定IP。
* 最小郵件數據交換時間間隔 = 1個交換周期內郵件數據量傳輸所需時間。
7、結論
基于堡壘主機的郵件隔離系統在保障內網絕對安全的前提下,實現內外網郵件系統的可靠交換,不失爲一種方便易行的辦法。許多安全方案都是基于堡壘主機的,這方面有許多成功案例,實施起來沒有任何技術風險。
